La Fondation Solana a annoncé la correction d'une faille de sécurité potentielle sur le réseau, qui aurait pu permettre la création et le retrait illimités de jetons Token-2022. La fondation a confirmé aujourd'hui avoir résolu le problème en avril.
Selon l' annonce , Solana Anza, a reçu un premier signalement de la vulnérabilité le 16 avril et a immédiatement collaboré avec d'autres développeurs majeurs du réseau, Jito et Firedancer, pour évaluer le rapport de vulnérabilité.
Après confirmation de l'existence du problème, les équipes ont travaillé sur un correctif. Le rapport précise que des entreprises spécialisées dans la sécurité blockchain, telles qu'Ottersec, Asymmetric Research et Neodyme, ont également apporté leur soutien et examiné le correctif avant son déploiement.
Il est intéressant de noter que l'équipe a découvert un bug similaire dans une autre partie du code source en essayant de résoudre le problème initial et a dû développer un autre correctif pour le résoudre également.
Malgré le retard, la Fondation Solana et l'équipe Anza ont commencé à contacter les validateurs dès le 17 avril et à leur distribuer le correctif afin qu'ils puissent effectuer la mise à jour. Le 18 avril à 20h00 UTC, une très large majorité des détenteurs de jetons avaient adopté le correctif, permettant ainsi à la Fondation de l'annoncer publiquement sur Discord.
Quelle est la vulnérabilité ?
La discrétion avec laquelle cette vulnérabilité a été corrigée soulève des questions quant à sa gravité potentielle pour le réseau. Selon la fondation, ce bug permet à toute personne possédant les compétences techniques requises de créer des preuves arbitraires que le programme ZK EIGamal Proof acceptera comme valides.
Ce programme joue un rôle clé dans l'exécution du transfertdentToken-2022 car il vérifie si les preuves à divulgation nulle de connaissance qui certifient la validité des soldes cryptés dans les transactions et les comptes sont correctes.
Il était écrit :
« Un attaquant sophistiqué pourrait utiliser ces composants non hachés pour élaborer une preuve falsifiée d'une action non autorisée qui passerait la vérification. »
Cependant, cette vulnérabilité n'affecte que dent , un standard peu répandu sur Solana . Selon Coingecko , la capitalisation boursière des jetons Token-2022 sur Solana n'atteint que 16,5 millions de dollars. Néanmoins, ce bug aurait permis à un attaquant de créer un nombre illimité de jetons Token-2022 ou d'en retirer n'importe quel compte. Heureusement, aucune exploitation de cette faille n'a été signalée à ce jour.
Les utilisateurs de cryptomonnaies critiquent la correction furtive de Solana
Parallèlement, Solana de corriger discrètement le problème avant de l'annoncer publiquement a suscité un débat sur le degré de décentralisation Solana . Le fondateur anonyme d'ETH Strategy, Cloutedmind , a exprimé sa consternation face à cet incident dent déclarant :
« Ai-je bien compris ? Il y a eu une faille zero-day sur le réseau principal solana et plus de 70 % des validateurs se sont entendus en privé pour mettre à jour et corriger ce bug critique avant même qu'il ne soit rendu public. »
D'autres utilisateurs semblent également partager un avis similaire, un compte X allant même jusqu'à affirmer qu'il est possible pour les validateurs de s'emparer des actifs des utilisateurs à leur insu.
Cependant, de nombreux Solana et utilisateurs de cryptomonnaies ont critiqué cette opinion, faisant remarquer que c'est ainsi que fonctionnent tous les réseaux décentralisés. Le PDG d'Helius Labs, Mert Mumtaz, a qualifié cette surprise d'absurde.
Anatoly Yakovenko, cofondateur Solana a également ajouté que les validateurs sur Ethereum suivent également le même processus, même si cela peut prendre plus de temps sur Ethereum .
Il a dit :
« Frère, ce sont les mêmes personnes qui ont atteint les 70 % sur ethereum. Tous les validateurs Lido (Chorus One, P2P, etc.), binance, Coinbase et Kraken. Si Geth a besoin de déployer un correctif, je serai ravi de coordonner le tout. »
Il est intéressant de noter que d'autres membres de la communauté crypto ont salué Solana qui a résolu le problème immédiatement après l'avoir découvert, tandis qu'un utilisateur a partagé un lien vers un article de presse que Bitcoin corrigeaient secrètement un bug.
